情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
中小企業情報セキュリティ.COMではUTM導入と合わせて、情報セキュリティポリシー策定をされるお客様が非常に多いです。その中で、どの様にUTMが会社全体の情報セキュリティ実現に役立っているかという例をご紹介致します。
運用の例はこちらから
その為、多くの企業で情報セキュリティポリシーの中に下記の様な文言が入れた上で、UTMの設定に反映させているケースが多いです。
従業員は、インターネットを利用する際には以下を遵守する。
システム管理者は、ウイルス等の悪意のあるソフトウェアに感染するおそれがあると認められる有害ウェブサイトは社内への周知、またウェブフィルタリング機能を使用して、従業員の閲覧を制限する。従業員は、業務でウェブ閲覧を行う場合は以下に注意する。
l公序良俗に反するサイトへのアクセスを禁止する。
・インターネット上で、不特定多数のコンピュータ間でファイルをやりとりできるソフトウェア(ファイル共有ソフト)。
一般的には下記のカテゴリを禁止して、就業中のウェブサイト閲覧を制限しています。
・違法性の高い
・アダルト
・ギャンブル
・戦争
・ゲーム
・P2P
・感染する可能性のあるURL
SOPHOS社製のUTMでブロックした画面です。
FORTINET社製のUTMでブロックした画面です。
UTMを導入した後は、定期的に目指している状態が実現できているか、どうかの監査をする必要があります。(情報セキュリティポリシーを策定していれば、その中に監査の時期、方法も盛り込まれていると思います。)この監査が非常に大切でこういったアラートの画面や、通信をブロックしたという画面を社内で公表するケースが多いです。見られているということが浸透してくことで色々なリスクを未然に防ぐことが出来る為です。
情報セキュリティポリシーで規定しておくだけでも規定しないよりは効果を見込むことはできますが、実際に閲覧していないかどうかを監査する方法が非常に難しいです。やはりUTMの標準機能である【ウェブフィルタリング機能】を使用した方が確実だと考える会社が多いです。
既に現在UTMを設置している会社では下記のことを見直してみると良いと思います。
・UTMで取得したログを使用して監査が行われているか?
・UTMのウェブフィルタのルール設定はどうなっているのか?
・毎月業者さんからUTMのレポートをもらっているのか?
・UTMのレポートは自分たちで出しているのか?
・UTMでどんなログが取れるのか?
UTMがまだ導入されていない会社では【就業時間内のウェブサイト閲覧】について、どんな対策を取っているか?を確認する。また社内で話し合うところからスタートしていくと良いかもしれませんね。中小企業情報セキュリティ.COMでは、UTMの選定はもちろんですが、導入後の運用をどうしたらいいか、ログをどのように監査に活かして業務に反映させていけばいいか、等のこともアドバイスさせてもらっています。情報セキュリティポリシーがまだ未策定の会社であれば策定からお手伝いをさせて頂きます。
【情報セキュリティを通して会社を強くする】ことを目指しお客様にあわせた情報セキュリティ対策をご提案しています。
